Ransomware no Brasil: Como Funciona e Como Proteger sua Empresa
Ransomware é um tipo de ataque cibernético que sequestra os dados da empresa: um programa malicioso criptografa todos os arquivos e exige pagamento (geralmente em criptomoeda) para devolver o acesso. O custo médio de um ataque para PMEs brasileiras chega a R$ 13 milhões. Mais grave: 15% das PMEs vítimas de ransomware não conseguem retomar as operações. Com o Brasil registrando 38% de aumento nos ataques em 2025 e 2026, entender e se preparar deixou de ser opcional.
O que é ransomware: a analogia do sequestro digital
Imagine que, ao chegar ao escritório, você descobre que todas as gavetas estão trancadas com cadeados que só você não tem a chave. Na tela do computador, uma mensagem: "Pague R$ 200.000 em Bitcoin em 72 horas e você receberá a chave." É exatamente isso que o ransomware faz com os dados digitais da empresa.
O programa malicioso percorre todos os arquivos acessíveis (documentos, planilhas, bancos de dados, fotos, emails) e aplica uma criptografia forte: transforma cada arquivo em um conjunto de dados ilegíveis sem a chave de decodificação, que fica com os criminosos. Sem backup adequado, a escolha é pagar ou perder os dados.
R$ 13M
Custo médio por ataque para PMEs brasileiras
15%
Das PMEs atacadas não retomam operações
38%
Aumento de ataques no Brasil (2025-2026)
Como funciona um ataque de ransomware passo a passo
Entrada no sistema
O criminoso consegue acesso inicial: via email de phishing com link malicioso, credenciais vazadas de outro serviço, vulnerabilidade em software desatualizado ou conexão de acesso remoto (VPN, RDP) sem proteção adequada.
Exploração silenciosa
Após entrar, o atacante não age imediatamente. Ele passa dias ou semanas explorando a rede, mapeando quais sistemas existem, onde ficam os backups e quais são os dados mais valiosos. Nesta fase, a maioria das empresas não percebe nada.
Preparação do ataque
O criminoso desativa ferramentas de segurança, identifica e tenta comprometer os backups conectados à rede, e prepara o programa de criptografia para ser executado no momento escolhido.
Execução da criptografia
Em questão de horas, o programa criptografa todos os arquivos acessíveis: servidores, computadores individuais, unidades de rede compartilhadas, bancos de dados.
Exigência de resgate
A nota de resgate aparece na tela: valor em criptomoeda, prazo, canal de contato. Alguns grupos publicam parte dos dados roubados para pressionar pelo pagamento (dupla extorsão).
Os principais vetores de entrada
| Vetor | Como funciona | Setores mais atingidos |
|---|---|---|
| Phishing por email | Funcionário clica em link ou abre anexo malicioso | Todos os setores |
| Credenciais vazadas | Login e senha obtidos em outros vazamentos | Saúde, financeiro, varejo |
| RDP sem proteção | Acesso remoto ao desktop exposto na internet | Indústria, construção, PMEs em geral |
| Software desatualizado | Exploração de vulnerabilidades conhecidas e não corrigidas | Governo, educação, saúde |
10 medidas para prevenir ransomware
Checklist de prevenção de ransomware:
- ✅ Backup 3-2-1 com pelo menos uma cópia offline ou imutável (a defesa mais importante)
- ✅ Autenticação de dois fatores em todos os acessos remotos (VPN, email, sistemas)
- ✅ Atualizações automáticas em todos os sistemas operacionais e softwares
- ✅ Nunca expor RDP (acesso remoto ao desktop) diretamente à internet
- ✅ Treinamento de phishing para toda equipe ao menos uma vez por ano
- ✅ Controle de acesso: cada usuário acessa apenas o que precisa
- ✅ Segmentação de rede: sistemas críticos isolados dos computadores do dia a dia
- ✅ Monitoramento de comportamento anômalo (login fora do horário, volume incomum de arquivos acessados)
- ✅ Gerenciador de senhas corporativo com senhas únicas por serviço
- ✅ Plano de resposta a incidentes documentado e testado antes que um ataque aconteça
Quer proteger sua empresa contra ransomware?
A Codecortex avalia a exposição da sua empresa e recomenda as medidas de proteção mais eficazes para o seu porte e setor. Diagnóstico gratuito, sem compromisso.
Solicitar diagnóstico gratuitoO que fazer se sua empresa for atacada
Isole imediatamente
Desconecte da rede os computadores afetados. Se a rede for corporativa, desligue os switches de rede para impedir que o ransomware se espalhe. Velocidade é crítica nesta etapa.
Não desligue os servidores
Paradoxalmente, desligar o servidor pode dificultar a recuperação. Manter o sistema ligado pode preservar dados na memória RAM que ajudam na investigação forense.
Acione sua equipe de TI ou parceiro de segurança
Se você não tem equipe interna de segurança, acione um especialista externo antes de tomar qualquer outra ação. Decisões erradas nesta fase podem piorar a situação.
Comunique a liderança e o jurídico
A LGPD exige notificação à ANPD em casos de vazamento de dados pessoais. O jurídico precisa estar envolvido desde o início para orientar as obrigações legais.
Avalie e inicie a recuperação
Com os sistemas isolados, avalie quais backups estão íntegros e não foram comprometidos. Inicie a restauração a partir do ponto de backup mais recente e confiável.
Por que backups são a defesa mais importante
Com um backup funcional e testado, um ataque de ransomware passa de catástrofe para um problema sério mas contornável. Sem backup, a empresa fica à mercê dos criminosos. A estratégia de backup correta para proteção contra ransomware é a regra 3-2-1: 3 cópias dos dados, em 2 mídias diferentes, com 1 cópia offline ou imutável que o ransomware não consegue alcançar.
Para um guia completo sobre como implementar backup corporativo, leia o artigo sobre backup em nuvem para empresas, que cobre a regra 3-2-1, os tipos de backup e as principais soluções disponíveis para PMEs brasileiras.
Ransomware e LGPD: obrigações legais
Um ataque de ransomware que resulte em acesso não autorizado a dados pessoais de clientes ou funcionários é um incidente de segurança que precisa ser notificado à ANPD. A omissão pode resultar em multas adicionais além dos danos causados pelo ataque. Para entender o contexto completo das obrigações legais, leia o artigo sobre LGPD e compliance digital em 2026. Para uma visão ampla das ameaças cibernéticas além do ransomware, leia o artigo sobre segurança cibernética para empresas.
Tipos de ransomware: Locker, Crypto e dupla extorsão
Nem todo ransomware funciona da mesma forma. Ao longo dos anos, os criminosos desenvolveram variantes com características e impactos distintos. Conhecer as diferenças ajuda a entender por que algumas estratégias de proteção são mais importantes do que outras.
O Ransomware Locker é o modelo mais antigo. Em vez de criptografar os arquivos, ele bloqueia o acesso ao sistema operacional ou à interface do computador. O usuário liga a máquina e encontra apenas uma tela exigindo pagamento, sem conseguir chegar à área de trabalho ou aos arquivos. Por não criptografar os dados em si, a recuperação costuma ser mais simples, e essa variante é considerada rara nos ataques atuais contra empresas.
O Ransomware Crypto, também chamado de Cryptoware, é o tipo dominante hoje e o mais devastador. Ele percorre todos os arquivos acessíveis, seja no computador local, em servidores de rede ou em unidades compartilhadas, e aplica criptografia em cada um deles individualmente. O resultado é que os arquivos continuam visíveis no sistema, mas se tornam completamente ilegíveis sem a chave de decodificação que fica com os criminosos. Mesmo que a empresa recupere o acesso ao sistema operacional, os dados permanecem inacessíveis. Grupos como LockBit 3.0, BlackCat/ALPHV e Cl0p usaram variantes de Cryptoware em grandes ataques registrados em 2025 e 2026.
A técnica mais recente e preocupante é a Dupla Extorsão (Double Extortion). Antes de criptografar os arquivos, o criminoso copia e extrai os dados mais sensíveis da empresa, incluindo contratos, dados de clientes, informações financeiras e propriedade intelectual. Depois de criptografar, a ameaça se torna dupla: pague para receber a chave de descriptografia e pague novamente para que os dados roubados não sejam publicados em sites na internet. Isso significa que ter backup não resolve completamente o problema: mesmo restaurando os sistemas, a empresa ainda enfrenta a ameaça de exposição dos dados. A dupla extorsão é hoje o padrão nos ataques mais sofisticados contra empresas brasileiras.
Custo por setor: quem paga mais caro no Brasil
O valor do resgate costuma ser apenas uma fração do custo total de um ataque de ransomware. O impacto real inclui o tempo de paralisação das operações (o fator de custo mais alto na maioria dos casos), os gastos com recuperação técnica, as multas regulatórias, o impacto na reputação da empresa e a perda de clientes decorrente do incidente. A tabela abaixo apresenta estimativas de custo médio total por setor, considerando os dados de incidentes registrados no Brasil em 2025 e 2026.
| Setor | Custo médio estimado | Principal fator de custo |
|---|---|---|
| Financeiro | R$ 22 milhões | Regulação BACEN, dados sensíveis, multas LGPD |
| Saúde | R$ 18 milhões | Dados de pacientes, sistemas críticos de atendimento |
| Indústria e Manufatura | R$ 14 milhões | Parada de linha de produção, contratos não cumpridos |
| Varejo e E-commerce | R$ 9 milhões | Perda de vendas, dados de cartões, reputação |
| Educação | R$ 4 milhões | Menor porte, mas alta vulnerabilidade e poucos recursos |
| Governo e Setor Público | Variável | Interrupção de serviços à população, multas LGPD |
Vale ressaltar que o setor financeiro e a área de saúde são os mais visados porque combinam alta capacidade de pagamento com dados extremamente sensíveis, o que amplifica o poder de extorsão dos criminosos. Já o setor industrial sofre com um risco adicional: quando o ataque atinge sistemas de automação e controle de produção (OT/ICS), a paralisação é imediata e cada hora de downtime representa perda direta em produção.
Outro ponto que precisa estar no radar de qualquer gestor é a obrigação legal. Quando o ataque envolve acesso não autorizado a dados pessoais de clientes, fornecedores ou funcionários, a empresa tem prazo de até 72 horas para comunicar a ocorrência à ANPD após tomar conhecimento do incidente. O não cumprimento agrava as penalidades. Para entender em detalhe as obrigações da sua empresa sob a lei, leia o artigo sobre LGPD e compliance digital em 2026.
Seguro cibernético: vale a pena contratar?
O mercado de seguros cibernéticos cresceu significativamente no Brasil entre 2024 e 2026, impulsionado pelo aumento dos ataques e pela maior consciência dos gestores sobre os riscos reais. O seguro cibernético, também chamado de cyber insurance, é uma apólice contratada junto a seguradoras que cobre parte dos prejuízos causados por incidentes de segurança digital.
Em linhas gerais, as apólices cobrem: custos de recuperação técnica após um ataque, investigação forense para identificar a causa e o alcance do incidente, notificação obrigatória de clientes e autoridades, honorários advocatícios relacionados ao incidente, e perdas por interrupção do negócio durante o período de recuperação. Algumas apólices mais abrangentes também cobrem danos de reputação e campanhas de relações públicas após um incidente grave.
Existem, porém, exclusões importantes que precisam ser lidas com atenção. A maioria das apólices não cobre situações decorrentes de negligência grave, como sistemas operacionais sem atualizações de segurança há mais de 12 meses, ausência de autenticação multifator em acessos críticos ou ausência de backups testados. Também costumam ser excluídos incidentes causados por guerra cibernética ou ataques de estados-nação.
Para contratar, as seguradoras realizam um questionário detalhado de maturidade em segurança. As perguntas avaliam se a empresa possui MFA habilitado, qual é a política de backups, se existe plano de resposta a incidentes documentado, há quanto tempo os sistemas operam sem atualizações e qual é o nível de treinamento da equipe. Empresas que não atendem ao patamar mínimo exigido podem ter a apólice recusada ou, pior, ter a cobertura negada no momento do sinistro por não cumprirem as condições contratadas.
O custo médio de uma apólice de seguro cibernético no Brasil varia de R$ 15.000 a R$ 80.000 por ano, dependendo do porte da empresa, do setor de atuação, do volume de dados pessoais tratados e das medidas de segurança já implementadas. Para PMEs com faturamento até R$ 10 milhões anuais, os valores costumam ficar na faixa inferior. Para obter o melhor custo-benefício, é recomendável implementar primeiro as medidas básicas de proteção antes de solicitar cotações. Quanto mais madura a postura de segurança da empresa, menor o prêmio cobrado pela seguradora. Para estruturar essa postura de forma abrangente antes de contratar o seguro, consulte o guia completo de segurança cibernética para empresas e o artigo sobre backup em nuvem para empresas.